Introduzione
La Repubblica Islamica dell’Iran considera oggi il dominio cibernetico una delle principali leve per colmare il divario con i propri avversari sul piano della sicurezza. Nel corso degli ultimi anni Teheran ha costruito un’articolata strategia cyber, integrandola nella propria dottrina di guerra ibrida e adottando un approccio spiccatamente asimmetrico. In pratica, attraverso attacchi informatici e campagne di disinformazione l’Iran può colpire interessi nemici a distanza, evitando uno scontro militare frontale che gli sarebbe sfavorevole e mantenendo un margine di negabilità sulle operazioni. Dall’esperienza di attacchi subìti (come il sabotaggio di Stuxnet nel 2010) il regime ha tratto impulso per investire massicciamente nelle proprie capacità cibernetiche; oggi queste capacità vengono utilizzate sia offensivamente, per acquisire vantaggi strategici o reagire a pressioni esterne, sia difensivamente, per proteggere il sistema di potere interno.
Una prova tangibile del ruolo centrale assunto dal fattore cyber si è avuta durante il conflitto con Israele nel 2025: in quella circostanza l’attività di hacking attribuita a Teheran è aumentata esponenzialmente (fino a sette volte il livello precedente, secondo analisi del settore) e ha incluso ondate di attacchi DDoS, tentativi di intrusione nei sistemi israeliani e campagne di disinformazione volte a seminare il panico e dividere l’opinione pubblica avversaria. Contestualmente, l’Iran ha anche adottato drastiche contromisure sul fronte interno, come il blackout di quasi tutto il traffico Internet sul territorio nazionale, per ridurre la propria esposizione agli attacchi informativi esterni e preservare il controllo sulla narrativa domestica. Nel complesso, l’evoluzione della strategia cibernetica iraniana mostra una sempre maggiore integrazione tra dimensione offensiva esterna e difesa del fronte interno. I paragrafi seguenti analizzano nel dettaglio le varie componenti di tale strategia: dalle tattiche di attacco alle applicazioni dell’IA, dalle attività occultate nel dark web alla repressione digitale interna, fino alla cooperazione internazionale che fornisce a Teheran supporto tecnologico e politico.
Evoluzione delle tattiche offensive
L’Iran dispone di una gamma diversificata di tattiche offensive in ambito cibernetico, affinate e consolidate nell’ultimo decennio. Un asse portante è costituito dalle operazioni di cyber-spionaggio. Unità APT legate all’intelligence e ai Pasdaran penetrano nelle reti di governi e aziende rivali per sottrarre informazioni strategiche (dati diplomatici, segreti industriali, piani militari). Accanto allo spionaggio silente, Teheran non esita a impiegare attacchi informatici a scopo di sabotaggio e distruzione. Emblematico è il malware Shamoon, utilizzato nel 2012 per colpire la compagnia petrolifera saudita Aramco: l’attacco cancellò i dati di circa 30.000 computer aziendali, risultando uno dei cyber-sabotaggi più distruttivi mai attribuiti a uno Stato. Negli anni, bersagli di attacchi iraniani sono state anche infrastrutture critiche (settori energetico, finanziario, dei trasporti) in Israele, nei Paesi del Golfo e in Occidente, mediante tecniche che vanno dal DDoS al rilascio di malware distruttivi. In molti casi, dopo aver violato un sistema, gli operatori iraniani ricorrono alla tattica del “hack-and-leak”: i dati rubati vengono divulgati pubblicamente per danneggiare l’immagine dell’obiettivo o seminare sfiducia nelle istituzioni del Paese colpito.
Un altro elemento chiave delle tattiche di Teheran è l’abbinamento tra attacchi cibernetici e operazioni di disinformazione. Spesso le campagne informatiche iraniane seguono una logica coordinata: prima si infiltrano i sistemi avversari per carpire informazioni o compromettere servizi, poi si attiva una componente propagandistica per massimizzare l’effetto. Ad esempio, si sono registrate operazioni in cui attacchi hacker iraniani sono stati accompagnati dalla diffusione online di notizie false e persino video deepfake per massimizzarne l’impatto politico. Questa integrazione tra incursioni tecniche e guerra psicologica amplifica l’impatto complessivo, contribuendo a raggiungere obiettivi che vanno oltre il mero danno digitale. Da notare, inoltre, che la Repubblica Islamica affida molte attività offensive a una galassia di gruppi hacker “proxy” e di cosiddetti hacktivisti affini alla propria causa. Tali gruppi, che sono ufficialmente non riconducibili a Teheran, conducono attacchi sotto la bandiera di sigle autonome, fornendo all’Iran un ulteriore livello di copertura e negabilità. Attraverso questa rete informale, che include anche criminali informatici tollerati o incoraggiati dal regime, l’Iran riesce a estendere il raggio d’azione delle sue offensive cibernetiche, colpendo un ventaglio più ampio di bersagli e rendendo più ardua l’attribuzione diretta delle operazioni allo Stato.
Intelligenza artificiale e disinformazione
Negli ultimissimi anni l’Iran ha iniziato a sfruttare l’intelligenza artificiale (IA) come forza moltiplicatrice per le proprie operazioni cyber e di influenza. In particolare, Teheran impiega strumenti di IA generativa per rendere più efficaci e penetranti le sue campagne di disinformazione. Sono stati documentati casi in cui hacker iraniani hanno creato e diffuso video contraffatti mediante IA (i cosiddetti deepfake) per alimentare la propaganda: ad esempio nel 2023 un finto notiziario con presentatori generati al computer è stato utilizzato per veicolare false notizie filogovernative in lingua persiana e altre lingue. Allo stesso modo, durante recenti escalation belliche la macchina propagandistica iraniana ha impiegato immagini e filmati sintetici creati con algoritmi di deep learning per simulare eventi o amplificare l’impatto emotivo di attacchi, confondendo osservatori e opinione pubblica internazionale. L’uso di contenuti artefatti prodotti dall’IA rende ancora più difficile distinguere la realtà dalla disinformazione, conferendo a Teheran un vantaggio sul piano della guerra psicologica.
Oltre che nell’ambito informativo, l’IA viene esplorata dall’Iran anche per migliorare le proprie capacità di attacco informatico. Algoritmi avanzati possono infatti automatizzare la ricognizione di vulnerabilità nei sistemi bersaglio, aiutando a identificare punti deboli da sfruttare, oppure generare varianti di malware in grado di eludere più facilmente le difese tradizionali. L’impiego di strumenti di IA nei processi di hacking potrebbe dunque aumentare l’efficienza e la pericolosità delle offensive iraniane, permettendo di sferrare attacchi più rapidi e difficili da contrastare. Gli analisti di sicurezza si attendono che Teheran integrerà sempre più l’IA nella sua strategia cibernetica, elevando la frequenza e la sofisticazione degli attacchi specialmente verso infrastrutture critiche e sistemi democratici degli avversari. In sintesi, l’IA rappresenta per l’Iran un ulteriore strumento per colmare il gap tecnologico con l’Occidente: sebbene attualmente le sue applicazioni siano ancora agli inizi (soprattutto nell’àmbito della propaganda), il loro potenziale dirompente preannuncia un futuro in cui le minacce cibernetiche iraniane saranno ancora più difficili da prevedere e neutralizzare.
Attività nel dark web e convergenza con il crimine
Una porzione significativa dell’ecosistema cyber iraniano opera nei recessi nascosti di Internet, sfruttando il dark web e le reti anonime per condurre attività illecite a supporto degli obiettivi strategici del regime. Teheran utilizza infatti piattaforme e mercati clandestini online sia per acquisire strumenti (malware, exploit zero-day, credenziali rubate) sia per monetizzare o potenziare le proprie operazioni. Un caso emblematico è la recente campagna di ransomware Pay2Key: riemersa nel 2025, questa piattaforma di attacco, collegata a un gruppo APT iraniano, ha iniziato a pubblicizzarsi su forum darknet russofoni e cinesi, offrendo agli affiliati fino all’80% dei profitti se colpivano obiettivi considerati “nemici” dell’Iran. In pochi mesi Pay2Key (operante su reti anonime come I2P) ha raccolto milioni di dollari in riscatti, evidenziando una saldatura tra motivazioni ideologiche e profitto criminale.
Secondo gli esperti, l’Iran sta sempre più collaborando con reti di cyber-criminali per ampliare la portata delle proprie operazioni informatiche. Un rapporto Microsoft del 2023 nota che regimi autoritari come Iran, Russia e Cina stringono partnership con hacker mercenari e gruppi criminali, ottenendo vantaggi reciproci, ovvero i governi beneficiano di competenze e “manodopera” aggiuntiva difficilmente riconducibile a loro, mentre i criminali ottengono protezione e parte dei proventi illeciti. Questo modello è ben esemplificato proprio dalle campagne ransomware iraniane, in cui i confini tra attività statale e crimine comune risultano sfumati.
Sorveglianza interna e controllo sociale
Il pilastro complementare alle operazioni esterne della strategia cyber iraniana è la repressione digitale interna, finalizzata a blindare il regime contro minacce domestiche e infiltrazioni informative dall’estero. In Iran sono bloccati i maggiori social network occidentali (Facebook, X-Twitter, YouTube) e, dopo le proteste del 2022, anche Instagram e WhatsApp. Teheran ha sviluppato una propria intranet nazionale e reso deliberatamente difficile e costosa la connessione al web mondiale, così da instradare i cittadini verso servizi Internet interni più controllabili. Inoltre, durante proteste o crisi politiche il governo ricorre a blackout mirati di Internet (locali o nazionali) per ostacolare le comunicazioni dei dissidenti e censurare le notizie scomode. Ad esempio, nel 2025 durante il conflitto con Israele, Teheran ha disconnesso quasi del tutto il Paese per 36 ore. Secondo gli osservatori, tali blackout vengono impiegati come strumenti di guerra informativa interna, volti a isolare la popolazione e impedire la circolazione di notizie non controllate dal regime.
Oltre alla censura, il regime iraniano impiega capillarmente la tecnologia per la sorveglianza di massa. Negli ultimi anni Teheran ha implementato un esteso sistema di telecamere di sicurezza e sensori biometrici nelle città, integrandolo con software avanzati di riconoscimento facciale e analisi comportamentale spesso forniti da partner stranieri (soprattutto cinesi). Tali strumenti di video-sorveglianza intelligente vengono utilizzati, ad esempio, per individuare automaticamente le donne che violano l’obbligo di velo: in base a una nuova legge “Hijab e castità”, migliaia di videocamere CCTV dotate di IA sono state installate in luoghi pubblici (università, stazioni, strade) e segnalano in tempo reale i trasgressori alle autorità, secondo quanto previsto dalla norma. Tale sistema consente di identificare e sanzionare automaticamente migliaia di violazioni (donne senza velo, ecc.) commesse in pubblico. L’insieme di queste misure, dal monitoraggio costante del traffico dati al filtro dei contenuti online fino al controllo elettronico del territorio, garantisce al regime un controllo pervasivo sulla società. Questo ecosistema di sorveglianza digitale, sostenuto dall’impiego di IA e dall’importazione di tecnologie estere, costituisce il complemento interno della proiezione cibernetica esterna: entrambe le dimensioni mirano a garantire la sopravvivenza e il rafforzamento del regime degli ayatollah.
Cooperazione con Russia e Cina
Per sviluppare e sostenere la propria strategia cibernetica, l’Iran ha fatto leva su cooperazioni internazionali con Paesi affini sul piano politico. In particolare, la Russia è un partner di primo piano: accordi bilaterali dal 2021 prevedono un patto di non-aggressione reciproca e cooperazione nella sicurezza informatica. Mosca ha fornito a Teheran know-how e strumenti di hacking, e i due Paesi promuovono una visione di “sovranità digitale” con più controllo statale su Internet. Anche la Cina ha contribuito in modo significativo alle capacità cyber iraniane, ad esempio vendendo tecnologie di sorveglianza avanzata (telecamere, software di filtraggio). Pechino, oltre a essere il primo mercato di sbocco del petrolio iraniano, condivide con Teheran l’interesse a limitare l’egemonia occidentale sul cyberspazio e si è mostrata disposta a trasferire sistemi utili a rafforzare la censura e la difesa digitale iraniana.
In sintesi, l’Iran non agisce da solo nel ciberspazio ma è parte di un nascente asse tecnologico autoritario insieme a Mosca, Pechino e altri attori minori. Questa rete gli fornisce accesso a know-how, strumenti e coperture diplomatiche che ne amplificano la resilienza e l’efficacia. La cooperazione con potenze come Russia e Cina, in particolare, non solo potenzia direttamente le capacità iraniane ma contribuisce a legittimare su scala globale l’idea di un Internet frammentato e sottoposto alla stretta autorità dei governi nazionali.
Conclusioni
Tra il 2024 e il 2025, l’Iran ha ridefinito il proprio ruolo nel cyberspazio, trasformandolo in un’estensione funzionale della sua politica estera e di sicurezza. La convergenza tra tecnologie emergenti, logiche di controllo interno e reti informali globali ha dato vita a un modello operativo fluido, adattivo, ideologicamente coerente. La sua efficacia risiede nella capacità di confondere i confini tra guerra e pace, tra Stato e crimine, tra propaganda e informazione. Ogni azione cyber è parte di una strategia più ampia, che destabilizza senza dichiarare, reprime senza visibilità, influenza senza firma.
Rispondere a questa sfida richiederà non solo strumenti difensivi, ma una visione politica condivisa dello spazio digitale. In gioco non c’è solo la sicurezza, ma la natura stessa dell’autonomia tecnologica e del pluralismo democratico.
Le opinioni espresse negli articoli del Belfablog sono quelle dei rispettivi autori e potrebbero non rispecchiare le posizioni del Centro Studi Machiavelli.
English 
Italiano
Scrivi un commento